Fix tocsp: we don't need -trust_other any more.

Fix typo.

Make partial chain checking work if we only have the EE certificate in
the trust store.

add missing newline

revert OCSP_basic_verify changes: they aren't needed now we support partial chain verification and can pass verify options to ocsp utility

Update test OCSP script "tocsp" to use shell functions and to use
December 17th as check date to avoid certificate expiry errors.

gost_crypt.c: more intuitive ceiling.

correct CHANGES

engines/cchost/gost_crypt.c: fix typo.

engines/e_capi.c: fix typo.

Submitted by: Pierre Delaage

engine/cchost: fix bugs.

PR: 2821
Submitted by: Dmitry Belyavsky, Serguei Leontiev

dso/dso_win32.c: fix compiler warning.

util/pl/VC-32.pl fix typo.

Use client version when deciding which cipher suites to disable.

util/pl/VC-32.pl: refresh, switch to ws2, add crypt32, fix typo (based on
suggestions from Pierre Delaage).

VC-32.pl: fix typo.

Submitted by: Pierre Delaage

d1_lib.c,bss_dgram.c: eliminate dependency on _ftime.

add -rmd option to set OCSP response signing digest

Check chain is not NULL before assuming we have a validated chain.

The modification to the OCSP helper purpose breaks normal OCSP verification.
It is no longer needed now we can trust partial chains.

Return success when the responder is active.

Don't verify our own responses.

typo

Add support for '-' as input and output filenames in ocsp utility.

Recognise verification arguments.

oops, revert, committed in error

apps/ocsp.c

Documentation improvements by Chris Palmer (Google).

fips/fipsld: improve cross-compile support.

Use new partial chain flag instead of modifying input parameters.

New verify flag to return success if we have any certificate in the
trusted store instead of the default which is to return an error if
we can't build the complete chain.

Document -pubkey.

Improve my 64-bit debug target.

add -crl_download option to s_server

add -cert_chain option to s_client

Make openssl verify return errors.

Update ignores.

Tabification. Remove accidental duplication.

revert SUITEB128ONLY patch, anything wanting to use P-384 can use SUITEB128 instead

add -badsig option to ocsp utility too.

allow ECDSA+SHA384 signature algorithm in SUITEB128ONLY mode

send out the raw SSL/TLS headers to the msg_callback and display them in SSL_trace

Fix OCSP checking.

typo

really fix automatic ;-)

documentation fixes

fix handling of "automatic" in file mode

Add code to download CRLs based on CRLDP extension.

Just a sample, real world applications would have to be cleverer.

remove print_ssl_cert_checks() from openssl application: it is no longer used

Fix two bugs which affect delta CRL handling:

Use -1 to check all extensions in CRLs.
Always set flag for freshest CRL.

Integrate host, email and IP address checks into X509_verify.

Add new verify options to set checks.

Remove previous -check* commands from s_client and s_server.

aes-s390x.pl: fix XTS bugs in z196-specific code path.

don't print verbose policy check messages when -quiet is selected even on error

ghash-sparcv9.pl: shave off one more xmulx, improve T3 performance by 7%.

initial support for delta CRL generations by diffing two full CRLs

make -subj always override config file

check mval for NULL too

fix leak

oops, really check brief mode only ;-)

don't check errno is zero, just print out message

if no error code and -brief selected print out connection closed instead of read error

add -badsig option to corrupt CRL signatures for testing too

New option to add CRLs for s_client and s_server.

add option to get a certificate or CRL from a URL

return error if Suite B mode is selected and TLS 1.2 can't be used. Correct error coded

cryptlib.c: fix logical error.

aesni-x86_64.pl: CTR face lift, +25% on Bulldozer.

aes-s390x.pl: harmonize software-only code path [and minor optimization].

Add new test option set the version in generated certificates: this
is needed to test some profiles/protocols which reject certificates
with unsupported versions.

PR: 2803
Submitted by: jean-etienne.schwartz@bull.net

In OCSP_basic_varify return an error if X509_STORE_CTX_init fails.

add wrapper function for certificate download

constify

Generalise OCSP I/O functions to support dowloading of other ASN1
structures using HTTP. Add wrapper function to handle CRL download.

C64x+ assembly pack: improve EABI support.

Update support for Intel compiler: add linux-x86_64-icc and fix problems.

New functions to set lookup_crls callback and to retrieve internal X509_STORE
from X509_STORE_CTX.

Print out point format list for clients too.

Use default point formats extension for server side as well as client
side, if possible.

Don't advertise compressed char2 for SuiteB as it is not supported.

change inaccurate error message

set auto ecdh parameter selction for Suite B

set cmdline flag in s_server

option to output corrupted signature in certificates for testing purposes

AES for SPARC T4: add XTS, reorder subroutines to improve TLB locality.

add Suite B 128 bit mode offering only combination 2

Don't display messages about verify depth in s_server if -quiet it set.

Add support for separate verify and chain stores in s_client.

Add support for printing out and retrieving EC point formats extension.

reject zero length point format list or supported curves extensions

support -quiet with -msg or -trace

curves can be set in both client and server

use correct return values when callin cmd

only use a default curve if not already set

Reorganise parameters for OPENSSL_gmtime_diff.

Make ASN1_UTCTIME_cmp_time_t more robust by using the new time functions.

Submitted by: Florian Weimer <fweimer@redhat.com>
PR: 2909

Update test cases to cover internal error return values.

Remove IDNA wildcard filter.

PR: 2908
Submitted by: Dmitry Belyavsky <beldmit@gmail.com>

Fix DH double free if parameter generation fails.

fix printout of expiry days if -enddate is used in ca

don't use psec or pdays if NULL

first parameter is difference in days, not years

reorganise SSL_CONF_cmd manual page and update some links

fix leaks

with -rev close connection if client sends "CLOSE"

update usage messages

correct docs

document -trace and -msgfile options

update docs for s_server/s_client